À la lumière de cette nouvelle importante, nous avons mis à jour notre couverture pour refléter les dernières informations. Pour rester à jour sur le nouveau cadre transatlantique pour la protection des données et ses répercussions, nous vous invitons à lire notre dernier article sur le sujet.
🔍 Découvrez les dernières nouveautés : Les transferts de données personnelles de l’UE vers les États-Unis sont désormais approuvés
Merci pour votre soutien continu et votre confiance dans notre couverture des questions mondiales importantes!
Vous avez peut-être entendu dire que Google Analytics était illégal en Europe ou qu’il violait le RGPD. Comme la plupart des choses liées à la vie privée, ce n’est pas toujours aussi simple. Nous avons rédigé cet article pour mieux expliquer ce dont il est question, ce que cela signifie jusqu’à présent et comment cela pourrait vous affecter si vous utilisez Google Analytics en Europe.
Vous êtes basé au Royaume-Uni ? Alors ce post vous concerne également, car les règles du RGPD sont toujours applicables au Royaume-Uni dans le cadre du « UK GDPR ».
👉 Que s’est-il passé : Plusieurs autorités européennes de protection des données ont constaté que le traitement des données des utilisateurs européens par Google Analytics pouvait entraîner un transfert illégal de données en dehors de l’Europe. Les autorités ont jugé les mesures de conformité de Google Analytics insuffisantes à la suite des enquêtes menées sur l’utilisation de Google Analytics 3. Voici pourquoi →
👉 La réponse de Google: En partie à cause de cette conversation sur l’utilisation de Google Analytics, Google a publié Google Analytics 4 dans une tentative de répondre à certaines des préoccupations.
👉 Devez-vous cesser complètement d’utiliser Google Analytics ? Il n’y a pas encore de réponse directe car il s’agit d’une affaire en cours de développement. Certaines Autorités, comme le Garante italien, ont déclaré que si vous choisissez de continuer à utiliser Google Analytics, des mesures de sécurité supplémentaires doivent être prises. Google Analytics 4 tente de répondre aux principales préoccupations, mais gardez à l’esprit que, puisque les enquêtes de la APD étaient basées sur Google Analytics 3, il n’y a, à ce jour, aucun moyen de savoir définitivement si les autorités considéreront que l’utilisation de GA4 est suffisante. Plus d’informations sur ce que vous pouvez faire ici →
Pour comprendre les décisions les plus récentes qui ont impacté Google Analytics 3, il faut remonter au verdict Schrems II publié par la Cour de justice de l’Union européenne en juillet 2020.
Schrems II a déclaré le « bouclier de protection des données » invalide. Le cadre du « Privacy Shield » autorisait et validait les transferts entre les États-Unis et l’UE. Depuis que ce cadre a été déclaré invalide, tout transfert de données entre l’UE et les États-Unis est interdit, à moins que les participants, tels que les responsables du traitement des données ou les sous-traitants, ne prennent des mesures supplémentaires pour satisfaire aux normes européennes d’adéquation (pour la protection des données).
Vous vous demandez peut-être pourquoi les transferts de données entre l’UE et les États-Unis sont interdits, à moins de prendre des précautions supplémentaires ? La raison en est la CLOUD ACT, qui oblige les entreprises basées aux États-Unis, telles que Google Analytics, à transmettre les données en leur possession, sous leur garde ou sous leur contrôle aux agences gouvernementales américaines, que ces données soient stockées aux États-Unis ou à l’étranger.
Les autorités françaises, autrichiennes, danoises et italiennes chargées de la protection des données (APD) ont constaté que le traitement des données des utilisateurs européens par Google Analytics pouvait entraîner un transfert illégal de données en dehors de l’Europe. Les autorités européennes de protection des données mentionnées ont mené ces enquêtes en collaboration et en réponse à un certain nombre de plaintes.
En conséquence, les autorités ont jugé les mesures de conformité de Google Analytics 3 insuffisantes.
Suivez l’évolution de cette jurisprudence et observez les dernières décisions ci-dessous :
Nous mettrons à jour cet article au fur et à mesure de l’évolution de la situation. Dernière mise à jour : 27th June 2022
Le 23 juin 2022, l’APD italienne (Garante) s’est mise d’accord avec les APD française, autrichienne et danoise, en publiant une déclaration ordonnant à toutes les organisations (publiques et privées) de vérifier que leur utilisation des cookies et autres outils de suivi est conforme aux réglementations sur la protection des données, avec une attention particulière pour Google Analytics 3 et les services similaires.
Les sites web qui utilisent Google Analytics 3, *sans les garanties prévues par le règlement européen*, violent la loi sur la protection des données car les données des utilisateurs sont transférées aux États-Unis, un pays sans niveau de protection adéquat.
👉 Le Garante a fait cette déclaration à l’issue d’une enquête approfondie menée en collaboration avec d’autres autorités européennes de protection de la vie privée et en réponse à un certain nombre de plaintes.
👉 L’enquête a révélé que les organisations utilisant Google Analytics 3 collectent des données, par le biais de cookies, sur la manière dont les utilisateurs interagissent avec ces sites web, y compris les pages spécifiques visitées et les services utilisés.
👉 L’adresse IP de l’appareil de l’utilisateur, les détails concernant le navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, ainsi que la date et l’heure de visite du site web font partie des nombreuses données recueillies. Il a été souligné dans la décision du Garante que l’adresse IP est une donnée personnelle et que même si elle était abrégée, Google serait toujours en mesure de la lire avec les autres données et capacités dont il dispose. C’est la raison pour laquelle le traitement a été déclaré illégal.
Plus de détails sur la décision du Garante sur Google Analytics ici
La APD francaise (CNIL) a publié un communiqué le 10 février 2022 ordonnant à un gestionnaire de site web français de se conformer au Règlement général sur la protection des données (RGPD) et de cesser d’utiliser Google Analytics 3.
La CNIL a récemment publié une FAQs à ce sujet. La CNIL a mis en ligne ce document sur son site afin de lever tout doute sur la décision prise le 10 février dernier. Cependant, elle n’a rien ajouté de nouveau à ce qui a déjà été annoncé dans la décision de l’Autorité.
En ce qui concerne les FAQ, il n’y a pas de changements particuliers par rapport à ce que l’Autorité a déjà déclaré dans sa décision du 10.2.2022. Les arguments ont simplement été rapportés de manière plus schématique :
👉 les mesures supplémentaires mises en place par Google Analytics 3 ne sont pas suffisantes pour empêcher l’accès des agences gouvernementales américaines en vertu de la loi CLOUD;
👉 l’exploitant du site web dispose d’un mois pour interrompre le service et opter pour un autre service conforme;
👉 une méthode de proxyfication peut être envisagée, qui permet, lorsqu’elle est correctement configurée, d’envoyer uniquement des données pseudonymisées à un serveur situé en dehors de l’UE.
Le 22 avril 2022, l’autorité autrichienne de protection des données (DSB) a publié une décision dans laquelle elle estime qu’un opérateur de site web européen anonyme a violé l’article 44 du RGPD.
👉 Le DSB a expliqué qu’en utilisant Google Analytics 3, l’exploitant du site web a permis à Google LLC d’accéder aux informations relatives au navigateur, aux adresses IP et aux numéros d’identification uniques des utilisateurs.
👉 Bien que l’exploitant du site web ait reconnu que des clauses contractuelles types (CCS) avaient été conclues avec Google LLC,le DSB a déterminé que ces CCS n’offraient pas un niveau de protection acceptable conformément à l’article 44 du RGPD.
👉 Le DSB a déterminé que le chapitre V du RGPD ne pouvait pas être mis en œuvre lors de l’utilisation de Google Analytics 3. L’exploitant du site Internet avait cessé d’utiliser l’outil avant la fin de la procédure de plainte, de sorte qu’il n’a pas été nécessaire d’utiliser ses pouvoirs d’exécution dans ce cas.
Dans un communiqué de presse de l’APD danoise (Datatilsynet), l’autorité a déclaré
si vous utilisez Google Analytics, vous devez mettre en place une stratégie qui permet de mettre votre utilisation de (Google Analytics) en conformité, ceci en instaurant des mesures supplémentaires.
Ils mentionnent également l’utilisation de la pseudonymisation comme une mesure technique possible et pertinente pour l’utilisation de Google Analytics. Datatilsynet a par ailleurs fait référence aux recommandations par la CNIL (APD française) destinée aux organisations qui souhaitent établir une pseudonymisation efficace grâce au processus de proxyfication.
👉 En vertu du jugement autrichien et d’autres décisions attendues relatives à l’utilisation de Google Analytics, l’Agence danoise de protection des données prévoit de rédiger un texte résumé.
👉 Le Datatilsynet a souligné la nécessité pour les autorités de partager une interprétation commune de la décision, car celle-ci implique un ensemble de normes européennes.
En partie à cause de cette conversation autour de l’utilisation de Google Analytics, Google a publié Google Analytics 4 pour tenter de répondre à certaines de ces préoccupations.
Pour des informations plus détaillées sur Google Analytics 4, voir ici.
Comme il est encore difficile d’évaluer l’impact de la décision sur Google Analytics, il appartient à chaque entreprise de décider des mesures à prendre.
Étant donné que la question principale est le transfert de données européennes vers les États-Unis et les risques qu’il comporte, en général, il pourrait être judicieux de :
*Veuillez toutefois noter que les enquêtes de la APD étant basées sur Google Analytics 3, il n’y a pas encore de moyen de savoir définitivement si les autorités considéreront l’utilisation de GA4 comme suffisante.
Si vous choisissez de continuer à utiliser Google Analytics, voici quelques mesures que vous pouvez prendre pour vous rapprocher de la conformité :
Les autorités chargées de la protection des données ont constaté que les transferts de données vers les États-Unis n’ont pas les mêmes normes de protection que dans l’UE.
La situation découle d’un ensemble de lois américaines qui permettent aux organisations gouvernementales de demander l’accès aux données personnelles des consommateurs auprès de services basés aux États-Unis, quel que soit le lieu où se trouvent les centres de données ou les serveurs.
Dans ce contexte, L’ORD a déposé 101 plaintes auprès des autorités européennes de protection des données afin de constater l’illégitimité du transfert des données des utilisateurs européens vers les États-Unis. Les décisions, qui ont constaté l’illégitimité des transferts, se concentrent sur l’analyse de mesures techniques, contractuelles et organisationnelles supplémentaires.
L’utilisation d’une clé de cryptage par la société en question a été jugée insuffisante car la clé était détenue par Google LLC. Il en découle que tant que la clé de chiffrement reste accessible à l’importateur (en l’occurrence, Google Analytics), les mesures prises ne peuvent être considérées comme appropriées.
En outre, les mesures contractuelles et organisationnelles ne sont pas évaluées car les autres sont toujours considérées comme insuffisantes en l’absence de mesures techniques.
Sur la base des décisions rendues jusqu’à présent, nous pouvons supposer que les conséquences juridiques possibles sont les suivantes :
Veuillez noter qu’à ce jour, aucune sanction économique n’a été prise pour l’utilisation de Google Analytics.
*Comme toujours, nous suivons l’évolution de cette affaire et nous tiendrons cet article à jour avec les derniers développements. Ajoutez cet article à vos favoris pour être sûr de ne pas manquer une mise à jour !